PSA: Google Authenticator のクラウド同期 2FA コードはエンドツーエンドで暗号化されていません from macrumors.com
海外記事要約
今週初め、Google は Authenticator アプリを更新し、Google アカウントを使用して複数のデバイス間で 2FA コードをバックアップおよび同期できるようにしました。
Mysk のセキュリティ研究者による調査では、クラウドに同期されている機密性の高いワンタイム パスコードがエンド ツー エンドで暗号化されておらず、悪意のある人物にさらされている可能性があることがわかりました。
Google アカウントのサポートが統合される前は、Google Authenticator アプリのすべてのコードがデバイスに保存されていたため、デバイスを紛失するとワンタイム パスコードも失われ、アカウントへのアクセスも失われる可能性がありました。
この場合は、ワンタイム パスコードです。
研究者によると、そのシードにアクセスできる人は誰でも、同じアカウントに対して独自のコードを生成し、侵入することができます。
その後、Mysk は、デバイスとクラウド間で 2FA コードを同期する Google アカウント機能を有効にしないようユーザーにアドバイスしました。
コメント